在科技行业裁员浪潮中,内部威胁日益加剧。
近期,35 岁的 Maxwell Schultz 在被解雇后入侵前雇主系统,在自己的账号被取消后,冒充另一名外包人员重新获取登录权限,从而进入公司网络,造成了近 100 万美元损失。如今其已认罪。
蓄意破坏,造成 86.2 万美元损失
据悉,2021 年 5 月 14 日,来自俄亥俄州的 IT 外包人员 Schultz 以合同工身份被所在公司的 IT 部门解聘。不久之后,他冒充另一名外包人员获取登录凭证,重新进入公司网络。
Schultz 使用 PowerShell 脚本重置了大约 2500 个密码,导致全美范围内数千名员工和外包人员无法登录电脑。他还试图删除日志、清除 PowerShell 事件记录,并成功清除了多项系统日志。
从技术细节来看,Schultz 使用 PowerShell 的方式,完美体现了“合法工具也能被武器化”这一点。PowerShell 是微软在 Windows 系统中广泛使用的脚本语言,用于自动化各种管理任务。而在这次事件中,Schultz 编写脚本批量重置密码,这种方法如果缺乏有效监控,就很容易利用身份认证上的薄弱环节发起大规模破坏。
美国检察官 Nicholas J. Ganjei 在公布消息时并未透露受害公司名称,在涉及恶意内部人员的案件中,这种做法很常见。不过当地媒体报道称,该公司可能是总部位于休斯敦的 Waste Management,这是美国最大的垃圾处理公司。
有网友找出了 Schultz 在 LinkedIn 上描述的这段工作经历:
他从 2019 年 8 月到 2021 年 5 月的期间,担任公司技术分析师,负责监督和处理约 30 个远程站点的 IT 相关问题、关注事项和咨询;与网络团队合作升级和更换防火墙及交换机,推进 SD-WAN 解决方案的部署;通过有效的故障排除技术,解决 VMware Horizon 上的 VDI(虚拟桌面基础架构)相关事件和问题;进行笔记本和台式机的设置,包括创建和部署系统镜像、安装应用程序、配置硬件,以及将客户数据迁移到新电脑;建立和配置新的远程站点,同时拆除现有站点;使用 SCCM(System Center Configuration Manager)管理操作系统补丁和应用程序。
“休斯顿能源行业给科技员工的薪水也低得可怜。 我采访的大多数人来自石油和天然气行业,他们几乎没有任何技术技能,因为他们 15 年来一直从事重置密码之类的工作。”有网友说道。
报道称,这次攻击给公司造成超过 86.2 万美元(大约 620 万元人民币)的损失,包括员工停工造成的损失、客服系统中断,以及恢复网络所需的大量人力投入。公司花了数周的时间和大量资源才恢复运营。对于一家中型企业而言,这类宕机事故可能会影响客户服务、供应链运转,以及内部沟通等核心流程。
有专家强调,这类攻击往往伴随社会工程学手段,例如 Schultz 的“冒充登录”行为,它能越过技术防线,直接利用人的疏忽来实施攻击。
“Schultz 冒充另一名承包商获取登录凭证。这正是我们需要关注的重点。对于掌握内部信息的人来说,这样做有多容易?现在是时候审查密码管理和帮助政策,确保它们能够抵御社会工程攻击了。”有网友表示。
此外,该事件也暴露了“零信任架构”在落地中的漏洞。尽管许多公司投入大量资源在防火墙、加密等外部防护上,但内部威胁更需要行为分析与实时监控作为补充。
据悉,美国联邦地区法院法官 Lee Rosenthal 将于 2026 年 1 月 30 日宣判。届时,Schultz 最高可能面临 10 年联邦监禁和最高 25 万美元的罚款。
裁员大背景下的冲突
在认罪协议中,Schultz 承认自己发动攻击,是因为对被解雇一事心怀不满。
Schultz 的破坏行为发生在科技行业动荡的大背景下。根据 Crunchbase 统计数据,仅 2025 年就已经有超过 11.8 万名科技从业者被裁掉,其中英特尔裁员比例高达 31%,微软也削减了 1.9 万个岗位。在 X 上,大量用户表达了强烈的不满,抱怨初级岗位不断消失、越来越多的人类工作被 AI 取代。
不过,也有网友表示,“裁员确实跟 AI 有一点关系,但我敢保证,很多被裁掉的岗位实际上只是被海外同等人才替代了,好腾出资金来投资 AI。我在整个行业里都见过这种情况。”
“我们大量的人力资源和 IT 岗位已经被‘AI’聊天机器人取代了。如果你问公司,他们会说这些机器人已经能回答 95% 的问题。他们称这是 AI,而不是某种被美化的搜索引擎,但谁也说不准。而且我几乎可以肯定,财务和市场部门也受到了影响,但这些岗位也被大量外包到了海外。”有人表示,“完全是海外外包才是主要原因,但他们不会承认这一点,会把模糊的 AI 当作替罪羊,而真正的问题其实是岗位外包到海外了。”
总之,这样的不稳定环境很容易滋生怨气,可能导致更多类似 Schultz 行为的发生。业内专家指出,裁员往往会让前员工带着对系统漏洞的深入了解离开,一旦心怀不满,就很容易变成“内部威胁”。
类似的事件在过去屡见不鲜,即使到了 2025 年依然非常普遍。
今年 8 月份,美国法院判处前能源管理公司 Eaton 的开发人员 Davis Lu 四年监禁,原因是他在公司服务器上安装恶意软件。
现年 55 岁的 Lu 在 Eaton 工作了 12 年,曾晋升为新兴技术高级开发人员。但公司在重组后将其降职,Lu 则以极不明智的方式做出了回应:他在系统中植入了一个“自毁开关”,一旦公司撤销他的网络访问权限便会触发。据报道,该恶意程序是一个 Java 程序,会在无限循环中生成越来越多的线程,最终占用足够多资源致使服务器崩溃。
美国司法部刑事司代理助理部长 Matthew Galeotti 在一封邮件中表示:“被告利用自己的访问权限和技术知识破坏公司网络,造成严重混乱,并给公司带来数十万美元的损失。然而,他的技术手段和隐蔽行为也无法让他逃脱应有的法律后果。”
据报道,Lu 的技术水平实际上并不高。他将恶意软件命名为 IsDLEnabledinAD,意思是“Davis Lu 在 Active Directory 中是否启用”。开发完成后,他还用公司账号上传程序,这种操作毫无隐蔽性可言。
2019 年 9 月 9 日,Eaton 解除了 Lu 的职位并切断了他的网络访问,这触发了 Java 程序运行,导致网络过载,全球数千名员工无法登录系统,并删除了一部分企业数据。在归还公司笔记本时发现,Lu 竟还一直用它在执行计划。浏览记录显示,他曾搜索如何删除数据、提升权限以及隐藏进程痕迹,同时还删除了大量加密数据。
程序运行不到一个月,联邦调查人员便逮捕了 Lu。他承认犯罪行为,但仍选择陪审团审判。结果,陪审团裁定他故意破坏受保护计算机罪成立。他被判处四年有期徒刑,并追加三年监督释放。
更早之前,2020 年,美国佐治亚州北区联邦检察官办公室通报称,一名亚特兰大 IT 经理因入侵前雇主网络造成超过 80 万美元损失,被判刑入狱;更早之前,1997 年《纽约时报》也报道过,一名被 Forbes 解雇的员工在离职后破坏系统、引发轰动。
这些案例都在提醒企业,如果员工被解雇后没有进行彻底的权限收回和离职流程管理,后果可能十分严重。内部人员造成的破坏往往最轻松但最严重。再高级的防火墙、AI 工具或恶意软件监控服务,如果操作人员“作乱”,也无法保护公司网络。
如何防范?
Schultz 事件的影响远不止一家公司。《Metro UK》引用的一项调查显示,85% 被裁的科技员工曾经考虑过或实际尝试过破坏前雇主的业务,这个数字已经让不少安全负责人和 HR 部门感到十分震惊。
另外,Workforce.com 的一项研究指出,心怀怨气的员工越来越多地使用更复杂的手段报复公司,包括植入恶意软件、删除数据等。
为了降低风险,业内普遍建议必须建立完善的离职流程,例如立即撤销所有账号和权限、对多因素认证进行审查、启用异常行为监测系统等。
一位网络安全顾问在接受 StartupNews.fyi 采访时形容得很形象:“解雇一个员工却不锁好数字大门,就像把车钥匙留在点火器上一样。”
法律层面也在跟进。外媒分析称,Schultz 根据《计算机欺诈和滥用法案》来定罪,未来可能成为更严厉量刑的判例,用于震慑潜在的破坏者。
就像《Economic Times》在报道印度班加罗尔一名被裁员工导致公司数据损毁的类似案件时也指出:突然裁员、缺乏配套支持等文化因素,会让紧张局势进一步恶化。科技行业必须正视“网络安全的人性因素”,尤其在 AI 工具大幅提升攻击效率的今天,加强员工忠诚度培养、道德黑客(ethical hacking)教育和心理疏导显得尤为重要。
虽然不少公司开始引入基于 AI 的威胁检测系统,但 Schultz 的案例说明:仅靠技术是远远不够的。在裁员过程中保持透明,比如提供合理补偿、职业中介服务,以及清晰沟通,都能显著降低“报复性攻击”的动机。
参考链接:
https://www.webpronews.com/fired-it-contractor-pleads-guilty-to-862k-revenge-hack-amid-tech-layoffs/
https://www.theregister.com/2025/08/22/worlds_dumbest_it_admin_gets/
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论